信息共享与供应链网络安全风险的关系研究
2017-02-14段利均
摘 要:随着供应链越来越全球化和复杂化,供应链系统的不确定性增加。互联网与信息技术的发展,使信息共享成为供应链成功管理的关键因素。对于很大一部分企业而言,Internet交流和在线管理技术是供应链需求与时间敏感性的核心应用。虽然通过IT技术信息共享提高了供应链的运作效率,但同时也使企业暴露在互联网所衍生出来的一系列风险中。本文使用系统动力学的方法,以系统的思考方式考虑信息共享与供应链网络安全风险的关系,反映利益相关者的相关关系以及回馈效应等。
关键词:供应链;信息共享;网络安全风险
一、引言
随着市场竞争日益激烈和多变,供应链的复杂性和不确定性也逐渐增加。杨中华指出供应链是一个由分布于全球的供应商、制造商、分销商、零售商,其中还包括提供物流服务的物流服务提供商等组成的系统,其中成员之间的相互依赖关系使得供应链系统变得更加复杂。信息作为供应链上各个环节的沟通载体,供应链节点成员企业间的信息共享可以提高供应链管理水平,减少节点成员间的分歧,提高整个供应链竞争力和运作效率。供应链节点成员通过一定的IT技术进行一定程度的共享信息,减少企业和供应链面临的不确定性、提高企业和供应链绩效,但是随着供应链对互联网和信息技术越来越依赖,也使供应链企业暴露在互联网所衍生出来的一系列风险中,对供应链的网络安全产生威胁,可能导致供应链运行中断事件的发生。
近年来国内外供应链运行中断的事件频频发生,如“911”事件、2009年丰田的“召回门”事件、2000年作为爱立信供应商的飞利浦公司的火灾事件、2011年日本地震导致日系车辆零部件短缺事件等都造成了严重的后果。这些事件表明风险对供应链的破坏远大于对单个企业的危害,由于供应链的复杂性和不确定性,使供应链各个环节的链接变得很脆弱,导致供应链面临的风险在增大。除了环境风险、自然风险,还有如今信息共享所使用的信息技术也带来了一系列的风险,如网络攻击盗取供应链中传递的信息,从而使供应链传递的信息失真或者丢失,导致供应链运行延缓甚至中断,从而引起供应链信息风险。
因此,随着供应链的复杂性和不确定性增加,供应链变得越来越脆弱、越来越依赖互联网和信息技术实现信息共享,明确信息共享与供应链网络安全风险的关系应该给予足够的重视。
二、信息共享
在现在的信息时代,信息共享成了供应链各个企业间必不可少的环节,供应链企业通过共享信息给信息获得方带来一定边际效用的提高。不仅包含客观实际收益的提升,也包含信息的实用性、有效性、代表性等主观感觉上的效用提高和不确定性的降低。如果某一节点企业掌握的信息相对匮乏,在进行业务运作的过程中会因共享了不完全或不完美的信息而遭受高成本和低利润的风险,当然这种风险必定会传递给与之相关联的企业。叶飞认为企业运营绩效的提升是供应链伙伴间信息共享结果的最终体现,并且供应链伙伴间的信息共享可以以信任为中介而间接地作用于企业运营绩效,这表明加强供应链伙伴间信息共享不仅可以有效地提升企业间相互信任水平而且可以有效地提高供应链成员企业的运营绩效。
随着信息科技的发展,供应链管理越来越依赖互联网和信息技术,通过信息技术实现高效率、低成本实现信息的传递。如西班牙著名时尚品牌ZARA利用信息技术实现了“快速供应链”,从设计到上架只需要10天,充分体现了IT技术对企业的各个环节的重要性。供应链利用IT技术实现商业过程标准化以及增加通讯、互联互通性和数据交换,但是供应链对这些系统的依赖导致供应链极易受到网络犯罪分子的网络攻击,使信息被盗取失真或是延误,引起供应链信息风险。倪燕领等从物流、资金流、信息流三方面分析了供应链风险的分类并强调供应链成员间合作过程中的信息风险。李琪将信息风险看作是供应链成员所面临的最大风险,并将信息风险等同于供应链风险。实际上供应链风险是由于节点企业之间的信息传递不及时或中断引起的,由于成员企业间彼此信息共享受到阻碍而造成了信息传递的中断,并认为信息风险是供应链风险的本质。
由此可见,信息共享可以提高效率、降低成本,但是信息共享过程越来越依赖互联网和IT技术,这必然引起网络犯罪分子的攻击,故在互联网时代供应链的网络安全应该受到人们的重视。
三、供应链网络安全风险
信息共享对供应链网络安全风险具有正负两方面的影响,即适当的信息共享可以减少供应链中因信息不对称而引起的风险,如牛鞭效应等,但供应链越来越依赖信息技术而进行大量的信息共享则会带入一种新型供应链风险——网络风险。网络风险定义为“组织或企业由于一系列信息技术系统障碍所造成的任何财务损失或者名誉破坏的风险”。网络风险将导致极坏的效果,包括知识产权破坏,子标准或被阻断的运营,敏感性数据破坏,对最终消费者的服务水准降低。网络攻击的形式多样,其目的是窃取数据以得到丰厚的利益,如信用卡数据、医疗信息、公司商业机密等数据信息。网络攻击一旦成功,将会引起供应链信息的延误或企业丧失技术创新,从未导致很大的成本损失。
由于信息技术的发展,网络攻击的技术也越来越高超,则预测供应链产生中断的每个可能性越来越困难,很多网络攻击都超出了组织的预测分析能力,故有学者提出供应链网络弹性的概念。供应链网络弹性是指“一种当供应链面临网络攻击风险的时候能够维系其运营绩效的能力。”供应链管理者如果想要减少网络攻击给供应链带来的损失应该考虑如何加强供应链的网络弹性。
四、系统动力学的应用
系统动力学方法是一种以反馈控制理论为基础,以计算机仿真技术为手段,通常用以研究复杂的社会经济系统的定量方法,具有能研究动态的、非线性问题的特点。信息共享贯穿于供应链的各个环节,由于供应链的复杂动态结构,信息共享对供应链网络的安全风险影响具有复杂性,故采用系统动力学方法是可行的。
供应链节点之间通过信息技术进行高效率、低成本的信息共享,但是企业对信息技术的依赖性增强,加大了网络犯罪者对供应链的网络攻击。由于供应链各个环节紧密的合作关系加强了企业之间的关联性,一旦某一个环节遭遇网络攻击,将通过供应链系统传播影响其它相关企业,出现风险传递的现象,类似于多米诺效应。故为了保护信息资产的安全,企业应加大对信息安全的投入,其中包括技术方面、人力资源方面、安全管理方面等,从而加强供应链网络弹性的建设。供应链中的不同企业对信息安全的投入决策不同。熊强等通过Stackelberg博弈分析得出企业信息资产价值越高,遭受攻击后的损失期望越高。核心企业共享额度越大,其对信息安全的投入也越大;伙伴企业的投入额随核心企业的共享额增加而减少,当核心企业的共享额能够让其信息资产有足够安全时,伙伴企业共享额度为零;核心企业在信息安全投资和信息安全共享方面会随着供应链脆弱度增加而增加,而伙伴企业会随着脆弱度的增加而减少直至为零。由此可见,供应链中对供应链信息安全的投入具有一定的复杂性。
由于信息共享以及信息安全的投入与供应链风险管理的复杂关系,通过系统动力学对其进行分析,明确其利益相关者的相关关系以及回馈效应。根据信息共享引起的供应链网络安全风险的变化规律和系统动力学的反馈原理,应用系统动力学仿真软件vensimple建立系统动力学供应链网络安全风险影响的反馈图模型。通过vensimple仿真软件把信息共享和供应链网络安全风险关系联结形成回路,回路最简单的表示方法是图形,即因果关系图。如图所示:
五、结论
根据系统动力学分析得出的供应链网络安全风险与信息共享以及供应链企业对信息安全的投入的逻辑关系,信息共享对供应链存在利弊关系,适度的信息共享有利于供应链的高效率运作,但也应该明确信息共享带来的供应链网络安全风险,故除了传统风险管理对风险的防御措施还应该在权衡好投入成本与风险损失成本的基础上对供应链网络弹性进行建设。目前对于供应链信息安全的投入以及供应链的网络弹性建设的研究文献还比较偏少,故互联网安全威胁下供应链上各个合作伙伴对供应链弹性的建设如何投资分配才是供应链面临网路安全风险时整体成本降到最低的关键环节,还需要进一步的研究探索。
参考文献:
[1]杨中华.基于核心企业的供应链网络信息共享研究[D].华中科技大学,2013(4).
[2]叶飞,薛运普.供应链伙伴间信息共享对运营绩效的间接作用机理研究[J].中国管理科学,2011,19(5):112-125.
[3]倪燕翎,李海婴,燕翔.供应链风险管理与企业风险管理之比较[J].物流技术,2004(12):40-42.
[4]李琪.供应链管理中的信息风险及对策分析[J].北京工商大学学报,2002(124):32-35.
[5]IRM. 2015. Cyber Risk and Management. Institute for Risk Management. Accessed April 1,2015: https://www.theirm.org/knowledge-and-resources/thought-leadership/cyber-risk/.
[6]Omera,K. & S.E. Daniel A.Supply Chain Cyber-Resilience:Creating an Agenda for Future Research.Accessed April , 2015.
[7]熊强,仲伟俊,梅姝娥.基于Stackelberg博弈的供应链企业间信息安全决策分析[J].2012(2):178-182.
作者简介:段利均(1990.07- ),女,汉族,四川,在读硕士,重庆交通大学,供应链与企业物流管理